Архив спецвыпуска журнала Хакер на www.wisesoft.ru, номер #072, стр. 072-010-7, совершенно секретно

Издательский дом ООО "Гейм Лэнд"

СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #72, НОЯБРЬ 2006 г.

совершенно секретно

РОМАН ЛУКОВНИКОВ (LRB@SANDY.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-010-7

Но самого сертификата для IPSec у нас пока нет. Получим его:

1 С КОМПЬЮТЕРА, НА КОТОРОМ ТРЕБУЕТСЯ УСТАНОВИТЬ СЕРТИФИКАТЫ, В АДРЕСНОЙ СТРОКЕ НАБИРАЕШЬ: HTTP://IP_ЦЕНТРА_СЕРТ/CERTSRV.

2 ВЫБИРАЕШЬ REQUEST A CERTIFICATE И ЖМЕШЬ NEXT.

3 ВЫБИРАЕШЬ ADVANCED REQUEST И ЖМЕШЬ NEXT.

4 ВЫБИРАЕШЬ SUBMIT A CERTIFICATE REQUEST TO THIS CA USING A FORM И ЖМЕШЬ NEXT.

5 УКАЗЫВАЕШЬ ПАРАМЕТРЫ ЗАПРОСА. ИЗ ОБЯЗАТЕЛЬНОГО INTENDED PURPOSE ВЫБИРАЕШЬ IPSEC CERTIFICATE (МОЖНО ОСТАВИТЬ И CLIENT AUTHENTICATION CERTIFICATE, ОБЛАСТЬ ЕГО ПРИМЕНЕНИЯ БОЛЕЕ ШИРОКАЯ).

6 ВЫБИРАЕШЬ ОПЦИЮ USE LOCAL MACHINE STORE, НАЖИМАЕШЬ НА SUBMIT И YES.

Дальнейшие действия выполняются на компьютере с установленным удостоверяющим центром:

7 ИЗ ПАПКИ ADMINISTRATIVE TOOLS ОТКРЫВАЕШЬ ОСНАСТКУ CERTIFICATION AUTHORITY.

8 ОТКРЫВАЕШЬ ДЕРЕВО КОНСОЛИ, НАЖИМАЯ НА ПЛЮСИК, И ВЫБИРАЕШЬ PENDING REQUESTS.

9 В ПРАВОЙ ПАНЕЛИ НАХОДИШЬ ЗАПРОС НА НАШ СЕРТИФИКАТ, НА НЕМ ПРАВЫЙ КЛИК, ALL TASKS И ISSUE.

Теперь с компьютера, с которого сертификат запрашивался, можно его получить. Для этого:

10 С КОМПЬЮТЕРА, НА КОТОРОМ ТРЕБУЕТСЯ УСТАНОВИТЬ СЕРТИФИКАТ, В АДРЕСНОЙ СТРОКЕ НАБИРАЕШЬ: HTTP://IP_ЦЕНТРА_СЕРТ/CERTSRV.

11 ВЫБИРАЕШЬ CHECK ON A PENDING CERTIFICATE, ДАЛЕЕ NEXT.

12 В ОКНЕ PLEASE SELECT THE CERTIFICATE REQUEST YOU WANT TO CHECK ДОЛЖЕН ПОЯВИТЬСЯ СЕРТИФИКАТ. КЛИКАЕШЬ NEXT И ВЫБИРАЕШЬ INSTALL THIS CERTIFICATE, В ОКНЕ НАЖИМАЕШЬ YES.

Проверь, что в оснастке Certificate(Local Computer), в ветви Personal, Certificates появился сертификат.

ЕСЛИ СЕРТИФИКАТ ЕСТЬ, НО ОТОБРАЖАЕТСЯ ОН КАК НЕДЕЙСТВИТЕЛЬНЫЙ, ПРОВЕРЬ, НАХОДИТСЯ ЛИ СИСТЕМНОЕ ВРЕМЯ НА КОМПЬЮТЕРЕ В ПРОМЕЖУТКЕ ВАЛИДНОСТИ СЕРТИФИКАТА (ТО ЕСТЬ ВОЗМОЖНО, СЕРТИФИКАТ ЕЩЕ НЕ ВСТУПИЛ В СИЛУ ИЛИ СРОК ЕГО ДЕЙСТВИЯ УЖЕ ЗАКОНЧИЛСЯ)

Теперь пробуй опять установить IPSec-соединение. Туннель должен подняться с аутентификацией сторон с помощью сертификатов.

[транспортный режим.]

[сценарий 2]

Обеспечим шифрование трафика между файловым сервером и компьютерами в локальной сети, используя IPSec в транспортном режиме.

Для файлового сервера разреши шифрованный трафик на TCP/139 и TCP/445 порты и нешифрованные входящие ICMP-пакеты. Весь остальной трафик запрети.

Настраивай файловый сервер (роутить здесь ничего не нужно, поэтому в качестве сервера подойдет компьютер и под управлением не серверной платформы Windows):

1 МЕНЮ START, ДАЛЕЕ RUN, НАБИРАЕШЬ SECPOL.MSC И НАЖИМАЕШЬ ENTER.

2 ПРАВЫЙ КЛИК НА IP SECURITY POLICIES ON LOCAL MACHINE, ДАЛЕЕ КЛИК CREATE IP SECURITY POLICY.

3 КЛИКАЕШЬ NEXT.

4 ПИШЕШЬ ИМЯ НОВОЙ ПОЛИТИКИ, НАПРИМЕР «IPSEC FOR FILE SERVER», КЛИКАЕШЬ NEXT.

5 СНИМАЕШЬ ГАЛКУ ACTIVATE THE DEFAULT RESPONSE RULE, КЛИКАЕШЬ NEXT.

6 ОСТАВЛЯЕШЬ ОПЦИЮ EDIT PROPERTIES, КЛИКАЕШЬ FINISH.

7 ДОБАВЛЯЕШЬ ПРАВИЛО IPSEC, КЛИКАЯ ADD...

8 ДОБАВЛЯЕШЬ IP FILTER, КЛИКАЯ ADD...

9 НАЗЫВАЕШЬ ФИЛЬТР INBOUND SMB И НАЖИМАЕШЬ ADD...

10 В SOURCE ADDRESS ВЫБИРАЕШЬ A SPECIFIC IP SUBNET И ПИШЕШЬ АДРЕС И МАСКУ ДЛЯ СЕТИ «А», В DESTINATION ADDRESS УКАЗЫВАЕШЬ IP_ФАЙЛ.СЕРВЕРА. ОСТАВЛЯЕШЬ ОПЦИЮ MIRRORED. ALSO MATCH PACKETS WITH THE EXACT OPPOSITE SOURCE AND DESTINATION ADDRESSES.

Назад на стр. 072-010-6 Содержание Вперед на стр. 072-010-8